Personvern - Behandlingsprotokoll - prosedyre v. 1.0

Hensikt

Ha en fullstendig oversikt over alle behandlinger av personopplysninger som kommunen er ansvarlig for, jf. personvernforordningen artikkel 30.

Gjelder for

Systemeier, leder med personalansvar, fagsystemansvarlig, prosjektledere/rådgivere som er ansvarlig for en arbeidsprosess som behandler personopplysninger.

Ansvar for gjennomføring

Systemeier og leder med personalansvar har ansvar for gjennomføring, men kan delegere myndighet for utførelse til fagsystemansvarlig, prosjektleder mv. Se også Dokument Informasjonssikkerhet - policy om roller og ansvar i sikkerhetsorganisasjonen.

Beskrivelse

Alle behandlinger av personopplysninger som kommunen er ansvarlig for skal protokollføres. Behandlingen føres inn i og holdes oppdatert i riktig protokoll nedenfor:

Utfylling av protokollene:

Protokollene fylles ut basert på Oversikt over behandling og initialvurdering (DPIA), Risiko- og sårbarhetsanalyse, eventuell Personvernkonsekvensvurdering (DPIA), eventuell Databehanderavtale og informasjon til de registrerte. IKT sikkerhetsgruppen og Informasjonssikkerhetsutvalget - mandat kan bistå med utfyllingen av protokollene.

Protokollene må oppdateres dersom det skjer endringer i behandlingene.

Tilgang til protokollene:

Alle ledere skal ha lesetilgang til protokollene. Fagsystemansvarlige og prosjektledere/rådgivere som er ansvarlig for en arbeidsprosess som behandler personopplysninger skal ha skrivetilgang til protokollene. Ta kontakt med Dokument IKT sikkerhetsgruppen (Gyldig) på mail: iktsikkerhetsgruppen@kristiansand.kommune.no og be om å få skrivetilgang/lesetilgang til relevant protokoll dersom du ikke allerede har det.

Definisjoner

Behandling: enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring.

Personopplysning: enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en nettidentifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet.

Vedlegg og referanser

personvernforordningen artikkel 30

Datatilsynet - vikrsomhetens plikter - Protokoll over behandlingsaktiviteter

Forfatter:	Vilde Johannessen (Rådgiver)
Godkjent av:	Kjell Alfred Kristiansen (Kommunalsjef)
Dokumentadministrator:	Sigurd Paulsen (Seniorrådgiver)
Dokument-ID:	13384
Gyldig fra:	06.03.2023
Revisjonsfrist:	05.03.2026